Alors que les cybermenaces mondiales ne cessent de croître, un nouveau phénomène inquiète les spécialistes de la sécurité informatique en Europe : l’infiltration discrète d’entreprises européennes par des développeurs nord-coréens opérant sous couvert. Ces « développeurs fantômes », agissant selon les directives du régime de Kim Jong-un, parviennent à signer des contrats à distance avec des sociétés européennes peu soupçonneuses et à accéder à leurs systèmes informatiques sensibles.
Selon de récentes révélations des agences de renseignement occidentales, la Corée du Nord use, depuis plusieurs années déjà, d’une méthode sophistiquée pour contourner les sanctions internationales qui pèsent lourdement sur son économie. Plutôt que d’attaquer frontalement les actifs européens par des campagnes classiques de piratage, des centaines de techniciens nord-coréens ont été déployés sur des plateformes de recrutement en ligne telles que GitHub, Upwork ou Freelancer. Sous de fausses identités — parfois usurpant celles de ressortissants étrangers, parfois simplement anonymisées —, ces développeurs proposent leurs services à des prix compétitifs, attirant ainsi les TPE, PME ou start-ups cherchant à minimiser leurs coûts de développement.
Souvent, ces sociétés ignorent tout de la véritable origine géographique de ces prestataires et du risque politique que représente leur embauche. Or, en échange de leurs prestations en apparence ordinaires, ces collaborateurs imposent parfois de subtils changements de code, collectent discrètement des informations confidentielles ou insèrent des portes dérobées dans les logiciels conçus pour le compte de leurs clients européens. Ces pratiques posent des risques majeurs de compromission technologique, d’espionnage industriel et d’extorsion future à grande échelle.
Si l’on en croit les investigations conduites par Europol et plusieurs autorités nationales de cybersécurité, les « cyber-nomades » de la République populaire démocratique se livrent à ces activités dans un silence quasi total. Ils bénéficient à la fois de la difficulté à remonter à la source dans un monde du travail dématérialisé, de la maîtrise des outils d’anonymat numérique, mais également d’une méconnaissance de la part des patrons européens sur les enjeux géopolitiques sous-jacents au recours à de la sous-traitance informatique low cost.
Pour financer le régime de Pyongyang, ces revenus d’apparence légale — contractés sous forme de prestations intellectuelles — sont ensuite discrètement rapatriés dans les caisses nord-coréennes par des sociétés écrans ou via des circuits bancaires complexes, principalement basés en Chine ou en Russie. Ces pratiques permettent de contourner avec une efficacité déconcertante les restrictions financières imposées à la Corée du Nord, et financeraient, selon plusieurs analystes, le programme balistique et nucléaire national.
Face à cet espionnage 2.0, les experts appellent à une vigilance accrue. La Commission européenne a récemment diffusé une note à l’attention des entreprises et start-ups du continent, incitant à vérifier systématiquement l’identité et les antécédents des prestataires techniques avec lesquels elles collaborent. Les recommandations vont de la mise en place de procédures de contrôle de sécurité renforcées à des audits réguliers du code informatique livré par des développeurs à l’étranger.
Si le phénomène reste difficile à quantifier précisément, sa recrudescence fait désormais figure de nouvelle menace stratégique pour l’intégrité des systèmes d’information européens. Pour nombre d’observateurs, il s’agit d’une facette supplémentaire de la guerre numérique que livrent plusieurs États autoritaires sur le cyberespace mondial. La vigilance, l’éducation et la coopération internationale sont plus que jamais de mise pour endiguer ce fléau d’un genre nouveau.